Los ciberdelincuentes han adoptado un nuevo cargador de malware para desplegar una amplia variedad de programas maliciosos diseñados para robar información valiosa, incluyendo Lumma Stealer (también conocido como LummaC2), Vidar, RecordBreaker (también conocido como Raccoon Stealer V2) y Rescoms.
Te podrá interesar leer: Malware Lumma Stealer utiliza trigonometría para evadir detección
¿Qué es un cargador de malware?
Un cargador de malware es un tipo de programa que se encarga de descargar e instalar otros programas maliciosos en el sistema infectado, sin el consentimiento ni el conocimiento del usuario. Los cargadores de malware suelen ser pequeños y discretos, y se aprovechan de diversas técnicas para evadir la detección de los antivirus y las medidas de seguridad.
Los cargadores de malware pueden llegar al sistema de varias formas, como por ejemplo a través de correos electrónicos de phishing, descargas falsas, anuncios maliciosos, exploits o kits de inyección. Una vez que se ejecutan, los cargadores de malware se conectan a un servidor remoto y reciben instrucciones sobre qué programas maliciosos descargar e instalar. Estos programas pueden variar según el objetivo, el propósito o la campaña de los atacantes.
Te podrá interesar: Dropper Malware: Una Amenaza Silente
¿Qué es Rugmi y cómo funciona?
Este troyano, que ha llamado la atención de los expertos en seguridad cibernética, se caracteriza por tener tres componentes distintos: un descargador que obtiene una carga cifrada, un cargador que ejecuta esa carga desde recursos internos y otro cargador que lo hace desde un archivo externo en el disco. La compañía que sigue este malware, bajo el nombre Win/TrojanDownloader.Rugmi, lo ha documentado en su Informe de Amenazas H2 2023.
Las estadísticas recopiladas por esta empresa revelan un aumento significativo en las detecciones del cargador Rugmi durante los meses de octubre y noviembre de 2023, pasando de cifras de un solo dígito por día a cientos de detecciones diarias. Esto demuestra la creciente amenaza que representa este malware.
Es importante destacar que estos programas maliciosos suelen venderse bajo un modelo de "malware como servicio" (MaaS) a otros actores de amenazas a través de suscripciones. Por ejemplo, Lumma Stealer se promociona en foros clandestinos con un precio de $250 al mes, con opciones más costosas que llegan a los $20,000, otorgando a los clientes acceso al código fuente y el derecho a revenderlo. Se ha identificado evidencia que sugiere que el código base utilizado en los ladrones Mars, Arkei y Vidar se ha reutilizado para crear Lumma.
Te podría interesar: El auge del Malware como Servicio: Una Amenaza Peligrosa
Además de adaptar constantemente sus tácticas para eludir la detección, estas herramientas se distribuyen de diversas formas, desde publicidad maliciosa hasta falsas actualizaciones de navegadores y descargas de software popular pirateado, como el reproductor multimedia VLC y OpenAI ChatGPT.
Otra técnica utilizada implica el uso de la red de entrega de contenidos (CDN) de Discord para alojar y propagar el malware, según lo revelado por Trend Micro en octubre de 2023. Esto implica el uso de cuentas de Discord comprometidas para enviar mensajes directos a posibles víctimas, ofreciéndoles incentivos como $10 o una suscripción a Discord Nitro a cambio de su colaboración en un proyecto. Los usuarios que aceptan la oferta descargan un archivo ejecutable alojado en Discord CDN que simula ser iMagic Inventory pero, en realidad, contiene la carga útil de Lumma Stealer.
Los expertos en seguridad advierten que la disponibilidad de soluciones de malware listas para usar contribuye a la proliferación de campañas maliciosas, lo que hace que Lumma Stealer sea aún más atractivo como producto para los ciberdelincuentes.
Estos hallazgos surgen en un momento en que McAfee Labs ha revelado una nueva variante de NetSupport RAT, que se deriva de su contraparte legítima, NetSupport Manager, y que ha sido utilizada por actores de amenazas para recopilar información y llevar a cabo acciones adicionales contra víctimas de interés. El método de infección comienza con archivos JavaScript ofuscados, que sirven como punto de entrada inicial para el malware. Estos archivos avanzan la cadena de ataque ejecutando comandos de PowerShell que recuperan el control remoto y despliegan el malware ladrón desde un servidor controlado por el atacante. Los principales objetivos de esta campaña parecen ser Estados Unidos y Canadá.
¿Cómo protegerse de Rugmi y otros cargadores de malware?
Para evitar ser víctima de Rugmi y otros cargadores de malware, se recomienda seguir una serie de buenas prácticas de seguridad, como por ejemplo:
- No abrir archivos adjuntos ni enlaces sospechosos que lleguen por correo electrónico, especialmente si provienen de remitentes desconocidos o no solicitados.
- Mantener el sistema operativo y las aplicaciones actualizados con los últimos parches de seguridad, para evitar que los atacantes exploten vulnerabilidades conocidas.
- Utilizar un antivirus confiable y mantenerlo activo y actualizado, para detectar y eliminar posibles amenazas.
- Realizar copias de seguridad periódicas de los datos importantes, para poder recuperarlos en caso de pérdida o daño.
- Utilizar contraseñas seguras y únicas para cada cuenta o servicio, y cambiarlas con frecuencia, para evitar que los atacantes las roben o las adivinen.
- Utilizar la autenticación de dos factores siempre que sea posible, para añadir una capa extra de seguridad a las cuentas o servicios.
- Evitar el uso de redes públicas o inseguras, y utilizar una VPN si es necesario, para proteger la privacidad y la seguridad de las comunicaciones.
- Solución XDR, esta innovadora tecnología va más allá de las soluciones de seguridad convencionales, como los antivirus y los firewalls, al ofrecer una perspectiva más completa y una respuesta altamente efectiva ante las amenazas informáticas, incluyendo el malware.
En resumen, la evolución constante de las tácticas utilizadas por los ciberdelincuentes, junto con la disponibilidad de herramientas listas para usar, subraya la importancia de mantenerse vigilantes y adoptar medidas de seguridad sólidas para protegerse contra estas amenazas en constante evolución.